Об ML-моделях
ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.
ML-модель создается для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.
ML-модель состоит из одного или нескольких элементов, каждый из которых самостоятельно анализирует телеметрию для выявления аномалий. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель. ML-модель может включать в себя следующие элементы, работающие параллельно:
- Предиктивный элемент;
- Элемент на основе диагностического правила;
- Элемент на основе эллиптического конверта.
Предиктивные элементы и элементы на основе эллиптического конверта требуется обучить. Процесс обучения предиктивного элемента может состоять из одной или нескольких эпох. Эпоха – это цикл, в течение которого элемент обучается на всем наборе обучающих данных. Количество эпох для обучения задается в параметрах обучения элемента. Элементы на основе диагностического правила обучать не требуется, поэтому они считаются обученными.
Процесс работы ML-модели с данными телеметрии для выявления аномального поведения называется инференсом. В Kaspersky MLAD инференс ML-модели может выполняться как на исторических данных (исторический инференс), так и данных телеметрии, поступающих в режиме реального времени (потоковый инференс). В случае запуска исторического инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей в порядке очереди их запуска. Длительность выполнения исторического инференса определяется интервалом времени данных, которые анализирует ML-модель. В случае запуска потокового инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей одновременно. Выполнение исторического и потокового инференса происходит параллельно и независимо друг от друга. В процессе инференса ML-модель регистрирует инциденты, которые можно просмотреть в разделе Инциденты.
Помимо инцидентов в результате инференса ML-модель также формирует артефакты. Артефакт представляет собой последовательность числовых значений (временной ряд). ML-модель может сформировать следующие артефакты:
- Артефакты, связанные с тегами. Элемент ML-модели формирует эти артефакты для каждого из своих выходных тегов. Эти артефакты формируются только предиктивными элементами ML-модели и представляют собой прогнозируемое значение тега и ошибку этого прогноза.
- Артефакты элементов ML-моделей. Артефакт такого типа формируется каждым элементом ML-модели и является основным результатом работы этого элемента. Математическая природа артефакта зависит от аналитических алгоритмов, используемых элементом, при этом артефакт для элемента ML-модели любого типа интерпретируется одинаково как степень отклонения поведения объекта мониторинга от ожидаемого (нормального). У каждого артефакта есть пороговое значение, при достижении которого регистрируется инцидент.
Вы можете просмотреть сформированные артефакты в разделах Мониторинг и История.
ML-модели могут быть созданы специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Для использования таких ML-моделей требуется импортировать их в Kaspersky MLAD. Вы также можете самостоятельно создавать ML-модели и добавлять в них нужные элементы с помощью конструктора моделей.